既知脆弱性による「FortiOS」侵害の新手法 - 初期経路封じても被害継続
Fortinetは、既知の脆弱性を悪用して同社UTMアプライアンス「FortiGate」を永続的に侵害するあらたな攻撃手法が確認されたとして注意を呼びかけた。初期侵入経路の遮断後もアクセスを維持していたという。
「FortiOS」の「SSL-VPN」におけるヒープベースのバッファオーバーフローの脆弱性「CVE-2022-42475」「CVE-2023-27997」や域外メモリへの書き込み「CVE-2024-21762」など、既知の脆弱性を悪用し、機器を侵害するあらたな手口が確認されたもの。
攻撃者は、脆弱性を悪用して「SSL-VPN」の言語ファイル用ディレクトリ内に、ユーザーファイルシステムとルートファイルシステムを結ぶシンボリックリンクを作成。
アップデートの実施により初期侵入をブロックした以降も、設定情報を含むファイルを機器より読み取りできる環境を維持していた。
あらたな攻撃を確認したことを受け、同社では対象バージョンに対し、マルウェアや不正対策用の定義ファイルを更新。あわせて「SSL-VPNインタフェース」の強化など、対策を講じたファームウェアを用意した。
具体的には、「FortiOS 7.6.2」「同7.4.7」「同7.2.11」「同7.0.17」「同6.4.16」においてシンボリックリンクの削除および再作成防止を実装。問題のシンボリックリンクをマルウェアとして検出するエンジンも追加している。
(Security NEXT - 2025/04/16 )
ツイート
PR
関連記事
「NATS Server」の一部APIに深刻な脆弱性 - アップデートを
Oracle、四半期パッチで脆弱性のべ378件に対応 - CVSS値9以上が40件
サーバに不正アクセス、取引先や株主情報など流出 - 研創
「Microsoft Edge」固有の脆弱性をアップデートで解消 - MS
Kubernetes向けワークフロー自動化ツール「Argo Events」に深刻な脆弱性
PHPフレームワーク「Yii2」に深刻な脆弱性 - 2月以降悪用も
WP向けフォームプラグイン「Everest Forms」に脆弱性
Jupyter環境向けプロキシ拡張モジュールに脆弱性 - 外部操作が可能に
「TIBCO Spotfire」に複数の深刻な脆弱性 - アップデートで修正
「Apache SeaTunnel」の「REST API」に脆弱性 - アップデートを
